¿Encabezado o etiqueta — cuál debería usar?

El encabezado HTTP es preferido. La forma es conveniente cuando no puedes editar encabezados de respuesta (hosts estáticos, etc.), pero no puede definir frame-ancestors o report-uri/report-to, así que es estrictamente menos poderoso.

¿Por qué el wildcard es una advertencia?

* en una lista de fuentes coincide con cualquier URL, derrotando la política por completo. Fija fuentes a orígenes específicos o usa 'self' en su lugar — si realmente necesitas scripts de terceros, lístalos explícitamente.

Constructor de Content-Security-Policy

Red

Compone un encabezado Content-Security-Policy desde un formulario directiva por directiva. Cada directiva acepta una lista de fuentes separadas por espacios (palabras clave como 'self', 'none', 'unsafe-inline', o fuentes de esquema/host). La herramienta marca políticas que contienen unsafe-inline, unsafe-eval, o un wildcard, omite directivas vacías de la salida, y emite tanto la forma de encabezado de respuesta como la etiqueta <meta> equivalente. Cambia a modo report-only mientras estás desplegando una nueva política a producción.

—

Presets

Directivas

default-src — fallback para cualquier directiva -src no establecidascript-src — fuentes JavaScriptstyle-src — fuentes CSSimg-src — fuentes de imagenfont-src — fuentes de fuenteconnect-src — fetch / XHR / WebSocket / EventSourcemedia-src — fuentes audio / videoframe-src — contenido de frameworker-src — scripts Worker / SharedWorkerobject-src — <object>, <embed>, <applet> — pon 'none'base-uri — URLs de etiqueta <base>form-action — endpoints de envío de formularioframe-ancestors — quién puede embeber esta página (reemplaza X-Frame-Options)report-uri — endpoint de reporte de violación (legacy)

Modo report-only

Encabezado

Content-Security-Policy: default-src 'self'; script-src 'self'; style-src 'self'; img-src 'self' data:; font-src 'self'; connect-src 'self'; object-src 'none'; base-uri 'self'; frame-ancestors 'none'

Etiqueta <meta>

<meta http-equiv="Content-Security-Policy" content="default-src 'self'; script-src 'self'; style-src 'self'; img-src 'self' data:; font-src 'self'; connect-src 'self'; object-src 'none'; base-uri 'self'; frame-ancestors 'none'">

Una directiva vacía cae a default-src. Establece default-src 'self' primero, luego acota fuentes individuales.

Cómo usar

Empieza desde un preset (Strict bloquea todo a 'self', Relaxed permite inline + wildcards, API-only bloquea navegación).
Edita cada directiva — deja un campo en blanco para descartarla.
Activa report-only al lanzar una nueva política: las violaciones se reportan pero no se bloquean.

Preguntas frecuentes

¿Encabezado o etiqueta <meta> — cuál debería usar?: El encabezado HTTP es preferido. La forma <meta> es conveniente cuando no puedes editar encabezados de respuesta (hosts estáticos, etc.), pero no puede definir frame-ancestors o report-uri/report-to, así que es estrictamente menos poderoso.
¿Por qué el wildcard es una advertencia?: * en una lista de fuentes coincide con cualquier URL, derrotando la política por completo. Fija fuentes a orígenes específicos o usa 'self' en su lugar — si realmente necesitas scripts de terceros, lístalos explícitamente.

Herramientas relacionadas

Constructor de URL Query

Construye URLs combinando una base con parámetros key-value editables — cada par conmutable, percent-encoded correctamente.

Red00

Inspector de Dirección IP

Escribe una dirección IPv4 o IPv6 y ve su clase, scope (privada / pública / loopback / link-local), valor decimal, binario, notación reverse-DNS y CIDR /32.

Red00

Referencia de Puertos

Cheat sheet buscable de ~60 puertos TCP / UDP estándar — desde 22 (SSH) y 80 (HTTP) hasta 6379 (Redis) y 27017 (MongoDB).

Red00

Referencia de Registros DNS

Hoja de referencia buscable de tipos de registro DNS — A, AAAA, CNAME, MX, TXT, NS, SOA, PTR, SRV, CAA, DNSSEC, SVCB / HTTPS — con ejemplos.

Red00

Calculadora de Subred (IPv4 / CIDR)

Parsea CIDR IPv4 en dirección de red, broadcast, netmask, wildcard, rango de hosts y clase. Muestra desglose binario y estado privado/público.

Red00

Parser de User Agent

Parsea string User-Agent en navegador, engine, OS, dispositivo y CPU. Detecta 20+ bots incluyendo GPTBot, ClaudeBot, PerplexityBot.

Red00